涉密環境下的實驗教學網絡安全研究

吳海兵，劉 萍，黎明曦，范希輝

(陸軍軍官學院 六系軍軍事測繪教研室，安徽 合肥230031)

0 引 言

隨著軍隊信息化進程的推進，很多傳統的軍事裝備操作訓練被計算機模擬器材所替代［1-2］。計算機模擬訓練具有節約成本、可重復性、與氣候無關等優點。近年來，我軍花大力氣自行研發了各類模擬訓練軟件。為了增強訓練的逼真，模擬訓練軟件在開發時通常采取與實裝相同的參數，如果軟件或文件資料被竊取丟失，將會造成重大的失泄密事件。

利用模擬訓練軟件進行教學時，通常將計算機組成一個小型局域網，并與外網物理隔離。在傳統意義上來說，訓練模擬軟件在封閉的網絡環境下是相對安全的，但近年來出現的內部網絡重要資料(包括文件、軟件等，本文統稱資料)失泄密事件的發生給用戶敲響了警鐘。究其原因在于在內外網之間存在利用移動存儲設備進行數據傳輸的行為［3］，如用移動存儲設備將因特網上下載的最新殺毒軟件拷貝到內網，或者從一個內網計算機上將重要資料通過移動存儲設備拷貝到另一內網計算機。擺渡木馬能夠通過移動存儲設備(包括U 盤、移動硬盤、MP3、MP4、可擦寫光盤等)感染沒有聯網的計算機，然后搜索存儲計算機中的敏感信息(涉密信息)，隱蔽地存儲到U 盤上，在U 盤連接到聯網的計算機時，再發送給竊取者，從而造成失泄密事件的發生。

長期以來，管理者都是強調從管理的角度防止失泄密事件的發生，如禁止在涉密的內網計算機上接入移動存儲設備。但受限于現實情況，仍然存在將移動存儲設備接入涉密內網的現象，如殺毒軟件升級、將最新的文件資料拷入計算機等都需要在內網計算機上接入移動存儲設備。本文從技術角度研究涉密環境下的實驗教學網絡安全應對策略，通過對內網計算機接入的移動存儲設備的數據進出(Input/Output，I/O)進行監控的方式，來解決網絡安全問題。

1 擺渡木馬傳播機制分析

擺渡攻擊的工具是擺渡木馬，它是一種特殊的木馬，它最突出的行為就是掃描系統中的文件資料，利用關鍵字匹配等手段將敏感文件悄悄寫回U 盤中，一旦這個U 盤再插入到連接互聯網的計算機上，就將這些敏感文件自動發送到互聯網上指定的計算機［3］。擺渡木馬隱蔽性、針對性很強，一般只感染特定的計算機，普通殺毒軟件和木馬查殺工具很難及時發現。

擺渡木馬攻擊原理見圖1。

圖1 擺渡木馬攻擊原理

其攻擊過程為:①竊密者將木馬掛在互聯網上，隨時準備感染用戶的上網機。②當移動存儲設備在被植有擺渡型木馬的外網計算機中使用時，木馬隱蔽地復制到移動存儲設備中。③當已經感染木馬的移動存儲設備連接到內網計算機中時，木馬自我復制到內網計算機中并通過該機在內網中傳播。④木馬程序在內網計算機中搜索感興趣的資料。⑤內網計算機中的木馬程序一旦發現有移動存儲設備連接，首先感染移動存儲設備，并且將感興趣的資料悄悄寫入移動存儲設備(有兩種寫入方式:通過文件系統寫入和通過底層協議寫入。如果是通過底層協議寫入，我們在移動存儲設備中根本就看不到被秘密寫入的資料)。⑥當隱藏有涉密資料的移動存儲設備連接到外網計算機時，木馬將移動存儲設備中的隱藏資料發送到竊密者指定的位置［4］。

2 涉密環境下的實驗教學網絡安全應對策略

在深入分析擺渡木馬的運行傳播機制后，可以發現，擺渡木馬要通過移動存儲設備進行擺渡，則會引起計算機的文件系統、注冊表系統和移動存儲設備的文件系統的狀態改變。本文設計并實現內網移動存儲設備數據I/O 監控系統，對內網計算機上的移動存儲設備的數據I/O 進行監控。該系統在用戶接入移動存儲設備時自動啟動監控系統，在拔出設備時將監控記錄形成報告顯示給用戶，用戶對比監控報告和自己操作可以很容易發現異常情況，降低了重要資料被擺渡木馬竊取的可能性。同時，監控結果發送到內網服務器上進行存儲，以便用戶和管理者查閱移動設備使用情況，也為發生失泄密事件后管理部門的取證提供依據。

根據調研，目前有些專業的軟件產品可以對計算機的文件系統進行監控，如比較知名的FileMon［5-6］，能對計算機文件系統進行較為全面的監控，其主要問題在于監控結果太繁雜，用戶很難從結果中篩選出有用信息，且其不是以監控擺渡型木馬為主;在注冊表監控方面，目前主要通過HOOK 注冊表API 函數和基于驅動的注冊表監控［7］，利用驅動進行注冊表監控的典型代表為RegMon，但監控結果同樣較繁雜，且驅動程序開發調試比較復雜，一旦出錯將導致系統崩潰、藍屏等。要對付擺渡型木馬，需要同時對計算機的文件系統、注冊表系統進行監控。

本文所設計的內網移動存儲設備數據I/O 監控系統在對計算機文件系統進行監控時通過調用微軟未公布的Windows API(ReadDirectoryChangesW)的方法實現［8-10］，并制定合理的監控規則對監控結果進行篩選，減少無關數據對用戶的干擾;系統對注冊表系統的監控是通過鉤子程序掛鉤注冊表API 函數實現［11-14］。

3 內網移動存儲設備數據I/O 監控系統

3.1 系統結構

系統分為監控子系統和查詢子系統，其中監控子系統采用C/S(Client/Server)模式，查詢子系統采用B/S(Brower/Server)模式，系統拓撲圖見圖2。

圖2 局域網移動存儲設備數據I/O 監控預警系統拓撲圖

監控子系統包括服務器端程序和客戶端程序兩部分。服務器端程序運行在局域網的服務器上，用于對局域網內電腦上使用的移動存儲設備的數據I/O 進行監控，并將監控的信息寫進數據庫進行存儲;客戶端程序安裝在局域網內的各臺計算機上，隨著計算機的啟動而運行，在客戶端插入移動存儲設備時激活并開始監控，同時將監控信息發給服務器。最后，在移動存儲設備退出時將監控信息報告給用戶。

查詢子系統主要向用戶提供移動存儲設備監控信息的查詢，用戶通過瀏覽器即可登錄服務器，查詢本機的歷史監控信息。同時管理者也可在失泄密事件發生后，使用查詢系統里面的歷史記錄進行取證。

3.2 工作流程

監控子系統采用C/S 模式，是本系統的核心部分，負責對用戶計算機的文件系統和注冊表系統進行監控，并在服務器端存儲監控信息。

監控子系統的工作流程如圖3 所示。

圖3 監控子系統的工作流程

服務器端和客戶端的程序都隨著操作系統的啟動而運行。服務器端程序創建接受進程，準備接受連接請求。客戶端程序啟動后判斷是否已經設置IP，如已經設置，則利用設置地址建立連接;若未設置，提示用戶設置地址并測試連接，設置完畢后(以后直接使用已設置的IP)，通過用戶設置的IP 地址與服務器端程序建立連接。客戶端程序檢測到設備接入消息后開始監控，并將監控信息發往服務器程序，服務器將接收到的數據解析后存入數據庫。客戶端程序在設備退出時形成檢測報告呈現給用戶。

查詢子系統采用B/S(Browser/Server)模式，為用戶和管理員提供查詢操作。

查詢子系統的工作流程比較簡單，首先是用戶登錄界面;根據登錄用戶所具有的權限，系統跳轉到普通頁面或管理員頁面;在普通頁面，用戶可以查詢自己計算機的監控信息;在管理員界面，可以對所有用戶監控信息進行查詢，同時還可對所有的用戶進行管理。

3.3 監控子系統客戶端程序功能設計

監控子系統客戶端在設計模式上采取當前主流殺毒軟件的風格，在程序運行后最小化到托盤，其菜單如圖4 所示。

圖4 客戶端托盤菜單

雙擊任務欄托盤圖標或選擇托盤菜單項“顯示窗口”會彈出客戶端主界面，主界面采用屬性頁的形式，分別記錄U 盤監控、系統監控和注冊表監控信息。

其中，連接服務器菜單主要完成設置監控結果存儲的服務器的IP 地址功能;監控設置菜單可以由用戶設置自己感興趣的選項，如圖5 所示。

圖5 監控設置

當移動存儲設備拔出后，桌面右下角彈出對話框，給用戶展示設備在插入期間程序所監測到的操作。

3.4 監控子系統服務器端功能設計

監控子系統服務器主要功能是接收數據并將數據存入數據庫中，便于后續查詢子系統的使用。系統運行后，最小化到托盤，選擇(或雙擊)托盤菜單項“顯示”會彈出服務器端主界面。

3.5 查詢子系統功能設計

查詢子系統主要用于管理員對內網移動存儲設備數據I/O 監控記錄進行查閱，并實時進行預警管理，管理員成功登錄后(默認主頁面為最新文件監控記錄)。

同時還可以根據用戶的主機IP，以及時間段進行查詢，結果為該主機在此時間段內的文件監控記錄。

4 監控效果驗證

(1)測試環境搭建。在一個局域網內選擇一臺主機作為服務器，運行監控子系統服務器端程序(同時將查詢子系統服務器程序運行在該計算機上)。受限于條件，再選2 臺電腦作為客戶端，運行監控子系統客戶端程序。

(2)測試設備。計算機3 臺，U 盤一個。

(3)測試方法。從網上下載一個名為“boat.exe”的擺渡木馬程序［15］，本實驗驗證監控系統對該擺渡木馬的監控功能。①被感染電腦向U 盤植入擺渡木馬(外網計算機被植入擺渡木馬后接入U 盤，擺渡木馬進入U 盤)在計算機上插入U 盤后，木馬程序會隱蔽的進入U 盤，并在U 盤中生成三個文件:AutoRun.inf，sendfile 文件夾和boat.exe。這三個文件偽裝為系統文件并隱藏，普通用戶無法發現。U 盤中的AutoRun.inf文件是U 盤插入時自動播放的控制文件(文件內容指向了boat.exe)，U 盤自動運行或雙擊U 盤圖標時會運行boat.exe 程序(木馬程序)。sendfile 文件夾存放了擺渡木馬從計算機里搜索的(敏感)特定文件資料。②被感染U 盤向內網(涉密網)計算機植入木馬(擺渡木馬通過U 盤進入內網)，當U 盤中的木馬程序運行后，會將程序復制到D 盤中，并通過修改注冊表實現開機自啟動并隱藏。③擺渡木馬自動搜索所需文檔并存到U 盤，當有U 盤接入被感染的內網計算機時，木馬程序根據事先設置的敏感詞，自動搜索敏感文檔，并隱蔽存儲到U 盤的隱藏文件夾中。

在上述木馬植入和竊取敏感信息過程中，木馬程序進入計算機系統和將文件存入U 盤的過程都被內網移動存儲設備數據I/O 監控系統監控(其中系統監控信息屬性頁顯示了木馬在計算機中存入的位置，注冊表監控信息顯示了木馬寫入注冊表中信息，U 盤監控信息顯示了木馬程序往U 盤中存入文件信息)，監控結果如圖6 所示。

5 結 語

以解決涉密環境下的實驗教學網絡安全問題為出發點，對涉密環境下的安全隱患進行了深入的分析。在分析擺渡木馬的危害和工作機制進行的基礎上，提出通過對內網計算機中的移動存儲設備數據I/O 監控的方式解決涉密環境下的網絡安全問題，設計并實現了監控系統，從實驗效果來看，可以有效解決涉密環境下的實驗教學的網絡安全問題。

圖6 客戶端監控到木馬的行為

［1］ 徐庚保，曾蓮芝.軍事仿真［J］.計算機仿真，2007(12):1-2.

［2］ 成 珙，劉小江，張文林.當前軍事仿真領域內新技術的應用與發展［J］.計算機仿真，2004(2):1-3.

［3］ 王同洋，余鵬飛，吳俊軍，等.數據擺渡在安全移動存儲中的應用研究［J］.計算機工程與應用，2010(28):12.

［4］ 李 倩. 擺渡木馬隱藏技術的防范［D］. 重慶:重慶大學，2008:15-26.

［5］ 楊政寰，祝躍飛.硬件虛擬機技術與可靠的文件監控［J］.信息工程大學學報，2010(3):356-358.

［6］ 瞿 進.文件過濾驅動在網絡安全終端中的應用［J］. 計算機應用，2007，27(3):624-626.

［7］ 李珂泂，寧 超.惡意腳本程序研究以及基于API HOOK 的注冊表監控技術［J］.計算機應用，2009(12):3198.

［8］ 張軍偉，羅 紅，喬向東.基于文件過濾的移動存儲設備實時監控系統設計與實現［J］.通信技術，2009(2):283.

［9］ 謝 夢.文件級I/O 監控系統的設計與實現［D］. 武漢:華中科技大學，2008:15.

［10］ 孫瑩瑩，鄭扣根.基于微過濾驅動的文件監控系統［J］.計算機應用，2010(11):3116.

［11］ 李珂泂，寧 超.惡意腳本程序研究以及基于API HOOK 的注冊表監控技術［J］.計算機應用，2009(12):3198.

［12］ 李曉東，羅 平，曾志峰. 利用木馬的自啟動特性對其進行監控［J］.計算機應用研究，2007，24(5):142-143.

［13］ 鮑欣龍，羅文堅，曹先彬，等.可用于惡意腳本識別的注冊表異常檢測技術［J］.電子科技大學學報，2007，36(6):1120.

［14］ 李偉斌，王華勇，羅 平.通過注冊表監控實現木馬檢測［J］. 計算機工程與設計，2006(10):2220.

［15］ http://www. pudn. com/downloads85/sourcecode/windows/system/detail328471.html.